HUAWEI USG5500 NAT|vOS

总公司三台服务器需要被分公司内网PC所访问

拓扑

总公司核心配置

vlan batch 10 20 
#
interface Vlanif10   上联防火墙地址
 ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20   做为服务器网段网关
 ip address 172.22.3.1 255.255.255.0
#
interface GigabitEthernet0/0/1   上联防火墙
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2   下联服务器1
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/3   下联服务器2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/4   下联服务器3
 port link-type access
 port default vlan 20
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.2   默认路由去防火墙

总公司防火墙配置

interface GigabitEthernet0/0/0   下联总公司核心交换
 ip address 192.168.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1   上联分公司接入交换
 ip address 172.22.1.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet0/0/1
#
 ip route-static 172.22.2.0 255.255.255.0 172.22.1.2    去分公司网段
 ip route-static 172.22.3.0 255.255.255.0 192.168.1.1   去总公司服务器网段

分公司接入交换配置

vlan batch 30 to 40
#
interface Vlanif30   上联总公司防火墙地址
 ip address 172.22.1.2 255.255.255.0
#
interface Vlanif40   下联分公司防火墙地址
 ip address 172.22.2.1 255.255.255.0
#
interface GigabitEthernet0/0/1   上联总公司防火墙
 port link-type access
 port default vlan 30
#
interface GigabitEthernet0/0/2   下联分公司防火墙
 port link-type access
 port default vlan 40
#
ip route-static 172.22.3.0 255.255.255.0 172.22.1.1   去总公司服务器网段路由

分公司防火墙

interface GigabitEthernet0/0/0   上联分公司接入交换机
 ip address 172.22.2.2 255.255.255.0
 nat enable
#
interface GigabitEthernet0/0/1   做为分公司内网PC网关
 ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2   外网互联地址
 ip address 222.222.222.222 255.255.255.0
 nat enable
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/1   内网信任接口
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/2   互联网非信任接口
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet0/0/0   去总公司DMZ
#
 ip route-static 0.0.0.0 0.0.0.0 222.222.222.221   默认路由器去互联
 ip route-static 172.22.0.0 255.255.0.0 172.22.2.1   去总公司路由
#
policy interzone trust untrust outbound
 policy 1
 description TO-WAN
  action permit
  policy source 192.168.1.0 0.0.0.255
#
policy interzone trust dmz outbound
 policy 1
 description TO-SERVER
  action permit
  policy source 192.168.1.0 0.0.0.255

更新日期: 2019年02月28日
文章标签: Huawei
文章链接: https://www.vos.cn/net/275.html
版权说明：如非注明，本站文章均为vOS原创，转载请注明出处和附带本文链接。

HUAWEI USG5500 NAT

标签列表

控制面板

打赏